9 Privacy in het onderwijs

Ik heet de staatssecretaris van Onderwijs, Cultuur en Wetenschap van harte welkom, net als de andere aanwezigen in de zaal, de mensen op de publieke tribune en de mensen die op een andere manier dit debat volgen. We voeren een meerderheidsdebat met vier minuten spreektijd per fractie. Zes leden hebben zich ingeschreven. We proberen het regime te voeren van twee interrupties per keer. De eerste spreker is tevens de aanvrager van het debat, de heer Van Meenen. 

On the dot, heel goed. 

Nul seconden over, echt een man van de klok. 

Dank u voor uw bijdrage. Dan geef ik nu het woord aan de heer Beertema van de PVV. 

De heer Van Meenen gaat ervoor zorgen dat u nog even mag blijven staan, want hij heeft een vraag voor u. 

De heer Beertema weet me altijd weer te verrassen. Hier spreekt de man die tot op elk uur nauwkeurig wil weten hoeveel lessen er gegeven worden in de school; dat moeten we vooral niet vrijlaten, stel je voor. Maar nu het gaat om de bescherming van privacy van leerlingen moeten we het eigenlijk allemaal maar zo laten. Welke Beertema hebben we hier voor ons staan? Is dat de man die de afgelopen jaren besteed heeft aan het volproppen van de scholen met allerlei regels, voorschriften, toetsen en noem het allemaal maar op? Of schuilt er in de heer Beertema toch ook ergens een soort hippie? 

Spreekt hier "Dr. Jekyll" Beertema of "Mr. Hyde" Beertema, daar lijkt de vraag op. Ik vraag me dat altijd af bij senator De Graaf van D66 met wie we te maken hebben. 

Het is niet zo dat wij zeggen: laat het maar over aan de goden want dan komt het vanzelf wel goed. Ik heb net gememoreerd wat er allemaal al gebeurt. In de brief staat dat er vele acties lopen: het verkennend onderzoek van PricewaterhouseCoopers, het convenant en model bewerkersovereenkomst, de pseudonimisering, Basispoort, het Samenwerkingsplatform Informatie Onderwijs, de monitor standaarden, de themamaand over privacy, het sectorakkoord voor het primair onderwijs. Ook heeft de rol van toezicht de aandacht. Ik zou willen zeggen: hallo, dat is allemaal nogal wat. Ik heb al gezegd dat ik geen groot vriend van het middenveld ben. Dit is ook mijn staatssecretaris niet, maar hij doet genoeg. Er is niet zo heel veel aan de hand. Ik heb gewerkt met die gedigitaliseerde lesmethodes. Daarvoor moeten de gegevens van leerlingen opgehoest worden, want op die manier kun je vooruitgang meten. Je kunt zo van alles meten; dat is geweldig, het is hartstikke mooi. Een moderniseerder als de heer Van Meenen zou daar zijn hart voor moeten openstellen en moeten zeggen: het heeft genoeg aandacht, laten we het even inbedden en de Tweede Kamer gaat pas acteren op het moment dat het echt nodig is. Dat is nu niet het geval. 

De woorden van de heer Beertema zijn me in zijn algemeenheid uit het hart gegrepen. Ik zal ze ook bij gelegenheid nog eens aanhalen bij andere debatten. Maar nu gaat het om het volgende. Er gebeurt heel veel, en de vraag is of de Kamer daar nog iets aan wil toevoegen. Ik heb twee dingen genoemd. Ten eerste moeten we bekijken of ouders invloed kunnen hebben op het privacyreglement dat een school dient te hebben, met name via instemmingsrecht. Ten tweede vragen we om privacy by design. Dat zeg ik vooral omdat ik vind — ik hoop dat de heer Beertema dat met mij eens is — dat scholen geen ICT-bedrijven moeten worden en dat we de verantwoordelijkheid moeten leggen waar die het beste uitgeoefend kan worden. 

Dat laatste ben ik van harte met de heer Van Meenen eens. Wat het eerste betreft, zeg ik nogmaals: verdere maatregelen op deze hele berg maatregelen die de staatssecretaris en het veld zelf al hebben genomen vind ik prematuur, zonde van de tijd en te veel regeldrift, dus niet doen. 

Mag ik de elf seconden spreektijd die ik overheb meenemen naar een volgende keer, voorzitter? 

Helaas, we doen niet aan dat soort emissiehandel in tijd. Ik geef het woord aan de heer Rog van het CDA. 

Mevrouw Straus zegt dat je privacygevoelige informatie nooit zou mogen weggeven zonder toestemming van de ouders. Helaas moeten wij constateren dat dit wel is gebeurd. Hoe kwalificeert mevrouw Straus die gang van zaken? Erkent zij dat de staatssecretaris daar eigenlijk veel meer bovenop had moeten zitten? 

De staatssecretaris heeft ons in mei een brief gestuurd over digitaliseren in het onderwijs. Een paragraaf in die brief is gewijd aan de privacy van leerlingen. Volgens mij laat dit zien dat de staatssecretaris wel degelijk onderkent dat dit onderwerp in het onderwijs geadresseerd moet worden. 

Ja. De staatssecretaris had ook een rapport — excuses, zijn ambtenaren hadden een rapport — waarin stond dat dit fout ging. Dat kreeg de Kamer pas een paar maanden later te horen omdat het op een website was geplaatst. Ik vind dit nogal onverschillig. Graag hoor ik van mevrouw Straus wat zij daarvan vindt. De vraag is nu: hoe nu verder? Mevrouw Straus zegt dat er geen gegevens meer mogen worden weggegeven zonder toestemming van de ouders. De uitgevers hebben echter al gegevens van leerlingen, op naam. Deelt mevrouw Straus mijn mening dat die gegevens vernietigd moeten worden? 

In ieder geval vind ik dat dit niet moet kunnen in het onderwijs. Als je informatie ter beschikking stelt voor bijvoorbeeld de ontwikkeling van een lesmethode, wat ik mij op zich wel kan voorstellen, moet je ervoor zorgen dat deze niet te herleiden is naar de individuele leerling. Dat is mijn punt. Individuele leerlinggegevens zouden alleen buiten de school mogen worden gebruikt als de ouders daar toestemming voor geven. 

Mevrouw Straus zegt dat ook de VVD aandacht wil hebben voor de privacy van leerlingen en risico's wil uitsluiten. Als zij staatssecretaris zou zijn en zij een rapport zou krijgen waarin staat er grote risico's zijn rond de Wet bescherming persoonsgegevens en dat onduidelijk is of aan die wet voldaan wordt, zou zij dat rapport dan onverwijld naar de Kamer sturen en actie ondernemen? Of zou zij die informatie geschikt vinden om een halfjaar in een bureaula te leggen? 

Naar mijn beoordeling heeft de staatssecretaris dat rapport wél gebruikt, namelijk om ons in de voornoemde brief van mei te informeren over het feit dat privacy rond leerlinggegevens in het onderwijs een onderwerp is dat hij wil oppakken. Dat is voor mij het punt. Als hij die prioriteit er niet aan had gegeven en er in de brief geen verwijzing had gestaan naar de privacy rond gegevens van leerlingen, zouden wij inderdaad de minister kunnen vragen of hij niets vergeten is. Dit is immers een heel belangrijk onderwerp. De staatssecretaris heeft het echter geadresseerd in de brief van mei. Er was bij mij dus geen reden om eraan te twijfelen dat hij serieus met dit onderwerp aan de slag was. 

Ik heb niet het gevoel dat op dat moment de noodzakelijke actie is ondernomen. Ik ben blij dat mevrouw Straus nu in elk geval zegt dat er actie ondernomen moet worden. 

Ik ga nog even terug naar het punt van de gegevens die verwerkt zijn. Is mevrouw Straus het met mij eens dat scholen zo snel mogelijk de zekerheid moeten hebben dat zij de leerlinggegevens niet meer hoeven te sturen naar commerciële partijen? Is zij het eens met het CDA dat de gegevens die inmiddels in handen van derden zijn, daar niet thuishoren en dus vernietigd moeten worden? 

Ik vind het belangrijk dat de gegevens die bij derden zijn in elk geval geanonimiseerd worden. Op dit punt zouden wij een inspanning moeten leveren. Misschien kan de heer Rog nog even het eerste deel van zijn vraag herhalen, want dat is mij ontschoten. 

Het gaat mij om twee dingen. Nu wordt de zekerheid aan scholen geboden dat zij de desbetreffende gegevens niet meer hoeven te verstrekken. Achter het verstrekken van die gegevens zitten allemaal goede bedoelingen, maar die zijn materieel nog niet zodanig dat ouders en scholen zeker weten dat zij dit niet meer hoeven te doen, of dat het niet meer gebeurt. 

Precies. Een van de dingen die ik in mijn betoog gevraagd heb, is het regelen van modelcontracten voor scholen. Zij kunnen die gebruiken bij de inkoop van digitale leermiddelen. In die modelcontracten moet ook wat mij betreft klip-en-klaar staan aan welke voorwaarden ICT-methodes zouden moeten voldoen. Wat mij betreft zou een school zich dus moeten afvragen of zij nog wel zaken wil doen met een leverancier die zich niet aan dergelijke afspraken zou willen houden. Dus ik zou als school nu in gesprek gaan met die leverancier, tegen wie ik zou zeggen: onder deze leveringsvoorwaarden wil ik zaken met je blijven doen, maar wanneer je daar niet aan tegemoet wilt of kunt komen, ga ik naar een ander. 

Laconiek, laisser faire, een politieke inschattingsfout: dat zijn zware woorden. Ik deel ze echter wel. Ook ik vind dat er niet goed is opgetreden als het gaat om dit dossier in het algemeen. De gegevens hadden nooit zomaar aan de bedrijven verstrekt mogen worden. We moeten daar nu zo gauw mogelijk verbetering in aanbrengen. Wat vindt mevrouw Ypma van het feit dat een alarmerend rapport hierover in april blijkbaar alleen door ambtenaren is gezien, en niet met de Kamer is gedeeld? Had dat niet ook met de Kamer gedeeld moeten worden? 

Ja, dat had met de Kamer gedeeld moeten worden. Dat heb ik al eerder een politieke inschattingsfout genoemd, ook in de media. De privacy van onze kinderen is zo verschrikkelijk belangrijk dat daarbij direct de alarmbellen hadden moeten afgaan, als ik de heer Rog mag citeren, en dat deze informatie direct met de Kamer gedeeld had moeten worden. De staatssecretaris heeft echter niet niks gedaan. Ten eerste heeft hij het rapport publiekelijk bekendgemaakt. Ten tweede heeft hij een brief aan de Tweede Kamer gestuurd waar wel een zinnetje over de privacy in stond. Het ligt dus ergens ook aan ons. Wij hadden dat misschien kunnen vinden. Ik vind dat er naar aanleiding van dit rapport te weinig actie is ondernomen, en dat dit misschien iets actiever aan ons gemeld had kunnen worden. Dat heb ik een politieke inschattingsfout genoemd. 

Volgens mij zijn twee zaken van belang om deze zaak in de toekomst te verbeteren. Ten eerste moet het toezicht beter, zoals mevrouw Ypma zelf al zegt. Zij laat het echter bij de vraag of het College bescherming persoonsgegevens beter toezicht kan houden. Wat wil zij zelf precies? Eist zij dit, of vraagt zij het alleen? Ten tweede vraag ik haar wat zij ervan vindt dat de uitgevers nu persoonsgegevens van leerlingen hebben. Moeten die niet zo snel mogelijk vernietigd worden, zeker als de zaak geanonimiseerd is? 

Ik heb al gezegd dat ik vind dat er sneller aan oplossingen gewerkt moet worden, liefst per morgen. Ik heb gezegd dat dit per morgen geregeld moet zijn. Ik heb die vraag bij de staatssecretaris neergelegd en wacht op het antwoord. Daarnaast heb ik gevraagd of het CBP genoeg tanden heeft om hier in te zetten. Het kan dit wel constateren, maar wat kan het vervolgens doen? 

In de eerste ronde vraag ik iets en eis ik nog niks. Ik heb gevraagd of het niet nuttiger zou zijn als het CBP met de inspectie gaat samenwerken om ook door te zetten als dit gebeurt. Als dit geconstateerd wordt, kan het doorzetten richting scholen en verantwoordelijkheden nemen. Ik ben er dus geen voorstander van dat de markt in de lead is. Laat ik dat nadrukkelijk zeggen. Het mag geen commerciële partij zijn die informatie over onze kinderen heeft. Misschien moet het juist wel een onafhankelijke publieke instelling zijn, die transparant is en die toeziet op een goede en zorgvuldige omgang met gegevens van onze kinderen. Ook die vraag leg ik graag bij de staatssecretaris neer. 

Daarmee is er een einde gekomen aan de eerste termijn van de zijde van de Kamer. De staatssecretaris heeft aangegeven dat hij zich even wil voorbereiden op de beantwoording. Ik schors de vergadering voor tien minuten. 

Mevrouw Ypma, ik zie dat u wilt interrumperen. Ik twijfel of ik dat toesta, want de staatssecretaris is nog bezig met zijn inleiding. Ik stel voor dat hij zijn inleiding afmaakt en dat ik u daarna in de gelegenheid stel om vragen te stellen. 

Voorzitter. Wij verwachten van onze scholen dat zij eigentijds en goed onderwijs geven. Scholen innoveren en gebruiken steeds vaker nieuwe digitale middelen. Vanochtend bezocht ik toevallig een school in Bergen op Zoom. Ik merkte in de gesprekken met de leraren daar dat zij enthousiast zijn over adaptieve leermiddelen als Rekentuin en Taalzee. Daaraan hebben ze veel, want ze kunnen daardoor de vorderingen beter, sneller en meer individueel volgen. Maar leerlingen vinden het ook heel erg leuk. Zij gaan er graag en enthousiast mee aan de slag. Een van de leraren op die basisschool zei tegen mij: "Dan geef ik ze huiswerk mee om vier opdrachten te doen en dan komen ze de volgende dag terug en hebben ze er acht gedaan." Met andere woorden: het gebruik van ICT in de school kan zowel voor leraren als leerlingen heel motiverend werken. 

In zo'n situatie is het nodig dat een leerling kan inloggen in specifieke programma's. Deze programma's draaien namelijk op grote servers bij de uitgeverijen; die servers staan niet binnen de muren van de school. Daarvoor is het nodig en soms wenselijk dat een beperkte set met leerlinggegevens wordt uitgewisseld. Ik zeg daar nog een keer heel nadrukkelijk bij: uiteraard met de nodige waarborgen omkleed. De gegevens die gebruikt worden, gaan op basis van need to know en niet op basis van nice to know van scholen naar aanbieders van digitaal leermateriaal. Dat noemen we dataminimalisatie; alleen strikt noodzakelijke gegevens, niet meer. 

Sommige inleidingen zijn soms net zo lang als de hele inbreng. Is dit zo ongeveer waar uw algemene verhaal eindigt? 

Nee. 

Dan ga ik wel interrupties toestaan. Als een inleiding langer dan vijf minuten duurt, dan lijkt mij dat wel verstandig. 

De PvdA is van mening dat gegevens van kinderen buiten de school nooit herleidbaar moeten zijn tot het kind. De staatssecretaris geeft aan dat gegevens alleen buiten de school mogen komen als dat strikt noodzakelijk is voor het onderwijs. De vraag is natuurlijk: wie bepaalt dat dan? Mag een commerciële partij bepalen dat het noodzakelijk is voor het onderwijs, of zijn het de ouders die daarvoor toestemming mogen geven en is het de school die om toestemming vraagt? 

De school moet de afweging maken. De school heeft de beschikking over de gegevens en de school besluit of zij die gegevens al dan niet doorgeeft. Wettelijk gezien is het ook de taak van de school, niet van de uitgeverijen, om die afweging te maken. Als uitgeverijen te veel vragen, kunnen scholen daar nee tegen zeggen. Sterker nog, als uitgeverijen dingen doen met die gegevens die zij niet mogen doen, dan is er een toezichthoudende instantie, het College bescherming persoonsgegevens, die daarop toeziet en kan ingrijpen als dat nodig is. 

De staatssecretaris zegt dat de school de afweging moet maken, maar ouders moeten hier toch toestemming voor geven? Als de school een afweging heeft gemaakt, wie houdt daar dan toezicht op? Het CPB heeft dan toch gefaald? Moet de inspectie niet meekijken? 

Ik zal straks uitvoerig ingaan op de juridische basis. Dit zijn allemaal vragen naar waar de verantwoordelijkheid ligt en hoe zich dat tot ouders verhoudt. Welke informatie mag je wel of niet doorgeven en heb je daarvoor toestemming nodig van ouders op individueel kindniveau? Mag ik met permissie daar straks wat uitvoeriger op ingaan? Na mijn inleiding kom ik hier in het eerste blokje op terug. 

De staatssecretaris had het over nice to know en need to know, maar de vraag is: wie bepaalt wat nice en wat need is? In mijn overtuiging zijn het de uitgevers die dat bepalen. 

Dat ben ik niet met de heer Van Meenen eens. Ik vind dat de scholen daarin een veel krachtiger stem zouden moeten hebben. Zij moeten nadenken welke gegevens zij willen afgeven. Zijn de gegevens die eventueel gevraagd worden echt noodzakelijk om een goed onderwijsproces in te richten? Dat is precies waar op dit moment de discussies over gaan. Een daarvan is — ook hier zal ik straks uitvoerig op terugkomen — het gevoel bij scholen en bij ons dat het goed zou zijn om je, bovenop wat er nu van de wet moet, af te vragen of je die inloggegevens zou kunnen "pseudonimiseren". Bij anonimiseren zijn ze niet meer terug te leiden tot het kind en kan ook een leraar er niets meer mee. Maar kan dat niet op een manier waarop het voor de buitenwereld niet helder aan wie rekenresultaten of taalresultaten of toetsen of spelletjes worden gelinkt, maar dat dat alleen maar herleidbaar is voor de docenten? Die discussie loopt op de scholen. 

Die discussie loopt, dat weten we allemaal. De uitgeverijen hebben met zo'n programma als Basispoort een monopoliepositie gecreëerd. Zij bepalen wat er gevraagd wordt, want anders kan je niet meedoen. Dat was de essentie van de rapportage destijds: scholen voelen zich met de rug tegen de muur gezet; dit is de voorwaarde waaronder je mee kunt doen en anders moet je je kinderen die mogelijkheid onthouden. Dat is de positie waarin scholen en ouders zich bevinden. Ik vraag de staatssecretaris dus nog een keer: wie bepaalt dit nu? 

Daarin ligt ook echt een grote rol voor scholen. Niemand dwingt een school om iets af te nemen bij een uitgeverij of om deel te nemen aan Basispoort. Uit de gesprekken die wij voeren met individuele scholen blijkt echter dat zij het gevoel hebben dat zij met de rug tegen de muur staan. Zij zijn op zich best tevreden met bepaalde leermiddelen, maar vragen zich ook af: wil ik onder deze voorwaarden hieraan deelnemen? Wat dan nodig is, is dat ook in het onderwijs meer georganiseerd wordt, dat er ook een tegenkracht georganiseerd wordt tegen deze uitgeverijen. Als de scholen in gezamenlijkheid zeggen tegen grote uitgeverijen "alles leuk en aardig, maar onder deze voorwaarden kopen wij niet bij u in", dan worden zij tenminste serieus genomen door die uitgeverijen. Dat proces komt maar langzaam op gang en om die reden zijn wij met de PO-Raad en de VO-raad bezig om de tegenkracht van scholen veel beter te organiseren. 

Volgens mij zijn wij halverwege de inleiding van de staatssecretaris al bij de kern van de situatie gekomen. Meent de staatssecretaris niet dat hij zelf een verantwoordelijkheid heeft om kinderen te beschermen? Als scholen in hun positie ten opzichte van uitgeverijen onvoldoende tegenwicht kunnen bieden, dan is het nog altijd de verantwoordelijkheid van de overheid om kinderen te beschermen en te stellen: die gegevens worden alleen gepseudonimiseerd verstrekt of als expliciet toestemming is gegeven. Is de staatssecretaris dat met mij eens? 

In de huidige wet- en regelgeving is wat er op dit moment gebeurt toegestaan. Het inloggen op eigen naam is niet strijdig met de regelgeving. Dat betekent niet dat het de meest wenselijke vorm is. Ik steun het onderwijs — sterker nog, ik vind het ook persoonlijk beter — in het kijken naar extra voorzorgsmaatregelen bovenop de wet- en regelgeving. Die moeten ouders en scholen meer waarborgen bieden. Pseudonimisering is een belangrijk onderdeel daarvan. Ik vind dat scholen dat vervolgens gewoon ook kunnen gaan eisen van uitgeverijen. Zij zeggen dan: wij willen best bij jullie afnemen, maar dan moeten jullie je systemen zodanig inrichten dat inloggen niet op eigen naam hoeft te gebeuren maar ook met een pseudoniem kan worden gedaan. 

Ongetwijfeld gaat de staatssecretaris straks nog wat vertellen over die pseudonimisering en de termijnen. Hopelijk gaat hij ons daarover dan nog geruststellen. Mijn andere vraag is: is de staatssecretaris het met mij eens, na deze discussie en na dit maatschappelijke debat, dat het wel degelijk zo zou moeten zijn dat leerlinggegevens alleen na expliciete toestemming van ouders bij derden, buiten de school, terecht zouden mogen komen? Over dat pseudonimiseren komen we straks te spreken; het gaat mij nu even over dat tweede. 

Met permissie, want het is echt een enorme trits: dat maakt onderdeel uit van wet- en regelgeving. In de privacy wet- en regelgeving zitten expliciete bepalingen over onderwijs. Die zitten er niet voor niets in. Die raken aan het thema dat de heer Rog aanhaalt. Ik zou daar straks wat uitvoeriger op terug willen komen. Ik doe dat eigenlijk langs drie lijnen. Ik zou eerst wat willen zeggen over de juridische basis en vervolgens over de rol van OCW en de acties die inmiddels in gang zijn gezet. Als derde ga ik heel expliciet in op de taak, positie en rol van ouders. Ik wil dat echter niet doen voordat ik een ander punt heb aangehaald. Ook hierbij wil ik iets rechtzetten. Dat gaat over het gevoel dat bij sommige leden van de Kamer bestaat, dat een rapport bewust is achtergehouden of maandenlang in een la heeft liggen verstoffen zonder dat daar iets mee is gebeurd. Dat is een beeld dat ik absoluut niet deel. Het belang van privacy en het verantwoord omgaan met de gegevens van kinderen staan hoog op onze agenda. Het is een expliciet onderwerp in het Doorbraakproject Onderwijs & ICT dat naar aanleiding van het regeerakkoord is gestart. Zo moet het rapport van PwC ook worden beschouwd. Mijn ambtenaren waren met de sectorraden en Kennisnet in gesprek over de privacy en daarbij kwamen allerlei indrukken naar voren als: wij denken dat het hier en daar nog niet helemaal goed loopt. Op een gegeven moment in de beleidsvoorbereiding hebben de ambtenaren tegen elkaar gezegd: zullen we de thermometer er eens in steken om te kijken of we nu alles scherp op het netvlies hebben? Zijn er wellicht nog dingen die we over het hoofd hebben gezien? Het beeld dat PwC gaf, sloot eigenlijk naadloos aan bij de vermoedens die er al waren. Er liggen geen gegevens van kinderen op straat, maar er zijn wel degelijk potentiële risico's. De aandacht, kunde en kennis bij scholen vragen om verbetering. Aan al deze thema's werkte mijn ministerie al. Het rapport onderschreef het belang er nog eens van en diepte ook een aantal van die onderdelen uit. 

Heel veel van de dingen waar we straks over komen te spreken, als het gaat over de rol van mijn departement en de acties die wij ondernemen, waren al in gang gezet voor het verschijnen van dit rapport. We hebben die acties voortvarend voortgezet, ook nadat dit rapport in mijn bezit kwam en bekend was bij mijn ambtenaren. Dat is vooral ook gebeurd omdat het aansloot bij het beeld dat daar leefde. 

We hebben dit rapport zelf actief naar buiten gebracht. Het is weliswaar geen rapport dat iets representatiefs zegt over het voltallige stelsel en het is ook niet zozeer een rapport waar door de Kamer naar is gevraagd. Het is een van de rapporten die een belangrijke rol spelen in de beleidsvoorbereiding, zoals er daarvan veel zijn. Ik vind dat eigenlijk wel goed. Een en ander is voortgekomen uit de motie-Voortman, waarin werd gevraagd om te kijken of er maximale transparantie gegeven kon worden en waarin werd verzocht om de interne en externe rapporten en voorbereidende notities die wellicht interessant en relevant zouden kunnen zijn, ook voor de buitenwereld, op een of andere manier te openbaren. Dat hebben we in september gedaan en dit rapport was daar een onderdeel van. 

Het is een compliment waard dat de staatssecretaris dit soort onderzoeken laat doen en zo'n rapport laat schrijven. Wat mij echter nog onduidelijk is, is wanneer de staatssecretaris zelf op de hoogte was van dit rapport. Ik hoor hem goed, want hij zegt iedere keer: toen mijn ambtenaren daarvan op de hoogte waren. Ik ben dus benieuwd wanneer de staatssecretaris zelf van dit rapport op de hoogte was. 

Ik kwam daarvan op de hoogte en ik heb het rapport gelezen toen RTL daarmee naar buiten kwam. Het raakt ook aan de vraag van de heer Van Dijk over hoe het dan precies in de verhoudingen zit. Er zijn heel veel rapporten die mijn bureau niet bereiken. Tegelijkertijd heeft de heer Van Dijk helemaal gelijk dat ik, ook al heb ik die rapporten niet gelezen, er voor de volle 100% verantwoordelijk voor ben. Ik ben ook 100% verantwoordelijk voor alles wat mijn ambtenaren doen. Het is wel goed om aan de Kamer te laten zien dat er in de beleidsvoorbereiding rapporten worden gemaakt, dat die worden meegenomen, dat die niet allemaal het bureau van de staatssecretaris bereiken en dat die ook niet allemaal naar de Kamer gaan, maar dat die wel een rol kunnen spelen in die beleidsvoorbereiding. Dat is hoe het hier ook is gelopen. 

Het siert de staatssecretaris dat hij dat ook ruiterlijk toegeeft. Ik vind het wel een probleem dat een rapport over zo'n belangrijk onderwerp pas zo laat de staatssecretaris bereikt. En nogmaals, er is geen reden om water bij de wijn te doen als het gaat over de privacy van onze kinderen. Een en ander betekent wel dat de staatssecretaris het rapport vervolgens direct aan de Tweede Kamer heeft gestuurd. Ik wil hem daarvoor bedanken. 

Het is goed dat om dit rapport is gevraagd en het is ook goed dat het is uitgebracht. Tot mijn spijt begrijp ik nu dat het rapport inderdaad een halfjaar in een la heeft gelegen. Dat baart me wel zorgen. Deelt de staatssecretaris mijn conclusie dat, gezien de aard van de risico's en de omvang van datgene wat in dit rapport beschreven is, het rapport achteraf gezien beter direct naar de Kamer had kunnen komen? 

Ik verzet mij echt tegen het beeld dat de heer Rog schetst, als zou dit rapport een half jaar in de la hebben gelegen. Dat is gewoon pertinent niet juist. Dit rapport is uitvoerig besproken, met de PO-Raad, met de VO-raad, met de uitgeverijen, met alle betrokkenen in dat doorbraakproject ICT en onderwijs om te bekijken wat dit betekent. Het sluit ook aan bij de gevoelens die al leefden en de thema's die al waren opgepakt. Als dat het geval is, dan is de vraag of het niet juist een goede afweging is geweest — ik steun dat voor de volle 100% — om dan te zeggen: dit is een rapport dat het beeld bevestigt en we gaan gewoon keihard door met de dingen te doen die nodig zijn om die risico's te ondervangen. We gaan scholen ondersteunen met convenanten, met modelbewerkersovereenkomsten en met een traject waarbij het ook technisch mogelijk wordt om in de toekomst de gegevens van kinderen te pseudonimiseren. 

Het is goed dat de staatssecretaris of, in dit geval, zijn ambtenaren initiatief nemen. Daar zijn de conclusies ook naar. Het is dus goed dat dat gebeurt. Mijn vraag aan de staatssecretaris was echter: bent u het met de kennis van nu en de conclusies die getrokken zijn in het rapport, met mij eens dat u dit rapport wel degelijk eerder naar de Kamer had moeten sturen? Dat is de vraag en het zou de staatssecretaris sieren als hij dat hier zou erkennen. 

Ik ben dat niet met de heer Rog eens. Het gaat hier om een snelle steekproef en niet om een representatief beeld. Mijn ambtenaren hebben op dat moment gezegd: het sluit aan bij een aantal beelden dat we al hebben. U zou een punt hebben — ik zou dan ook boos geworden zijn en daar had ik dan ook de volle verantwoordelijkheid voor genomen — als er een kritisch rapport had gelegen waar vervolgens niets mee was gedaan. Ik ben echter steeds door mijn ambtenaren geïnformeerd over het feit dat er hard werd gewerkt aan een systeem waarbij gepseudonimiseerd werd, dat er gewerkt werd aan bewerkersovereenkomsten en dat privacy een heel pregnant en nadrukkelijk thema was in het Doorbraakproject Onderwijs & ICT. Ik vind dan ook dat er alleen maar goede keuzes en afwegingen zijn gemaakt. 

Ik zat vanochtend op de fiets en toen dacht ik: wat zou de staatssecretaris antwoorden op de vraag waarom dat rapport zes maanden in een la heeft gelegen en waarom het niet direct naar de Kamer is gestuurd? Toen bedacht ik het volgende antwoord: ach, mijnheer Van Dijk, er zijn zoveel rapporten waar mijn ambtenaren mee moeten werken; het is een steekproef; het is niet representatief. Et voilà, we krijgen het te horen. Maar er zit wel iets geks in. De staatssecretaris zegt terecht: dit is een groot probleem, er zijn risico's en de privacy van leerlingen is van groot belang, dus het is goed dat mijn ambtenaren ermee aan de slag zijn gegaan. Maar dan vergeet hij toch de parlementaire spelregels? Juist omdat het zo belangrijk is, is het toch niet zo moeilijk om nu te zeggen: ja, dat had in april naar de Kamer moeten gaan, want het is een groot probleem? 

Ik ben dat niet met de heer Van Dijk eens. We hebben dit thema opgepakt, ook in het kader van het Doorbraakproject Onderwijs & ICT. Daar bent u eerder al bij andere gelegenheden over geïnformeerd. Ik vind het belangrijk dat we werk maken van de dingen die we hebben beschreven en die nodig zijn om een aantal van de risico's te ondervangen. 

Ik krijg een beetje een afgemeten antwoord: we zijn ermee aan de slag. Dat is het antwoord. Maar kijk naar de RTL-uitzendingen, kijk naar de onrust die is ontstaan onder ouders. Al die ouders zeggen: wij hadden nooit gewild dat die gegevens van mijn kind zomaar naar commerciële bedrijven zouden gegaan. En eigenlijk zegt de staatssecretaris dat hij dat begrijpt. Dan is het toch niet zo moeilijk om nu te erkennen: ja, dat is de afgelopen tijd niet goed gegaan en we gaan er nu alles aan doen om dat te verbeteren? Dat laatste heeft hij overigens al gezegd. Maar dat is de afgelopen tijd toch niet netjes gegaan? Durft de staatssecretaris dat te erkennen? 

Ook met het beeld dat de heer Van Dijk schetst, ben ik het niet eens. Het beeld dat er heel veel is fout gegaan, of het beeld dat RTL schetst dat de gegevens van anderhalf miljoen kinderen op straat liggen: het is niet zo! Het rapport van PwC laat zien waar een aantal risico's zitten. Ik heb geen concrete signalen van misbruik van gegevens van kinderen. Ik vind wel dat er meer moet gebeuren met de bewustwording, maar dat wisten we daarvoor ook al. Daar heeft de hele berichtgeving van RTL, ironisch genoeg, aan bijgedragen, want ouders en scholen zijn zich er nu bewuster van. Ik vind dat het gesprek over de zorgvuldige en bewuste manier van omgaan met gegevensuitwisseling in een digitale context vaker op scholen gevoerd kan en moet worden. 

Ik had mij voorgenomen om over dit punt niets meer te zeggen. Ik heb in het verleden al gezegd dat het rapport de Kamer laat bereikt heeft. Dat heb ik ook gedaan bij de aanvraag van dit debat. Ik constateer echter dat de staatssecretaris een beetje dubbele houding aanneemt. Hij zegt dat het een beperkt rapport was en dat er vervolgens allerlei actie op ondernomen is. Hij zou kwaad geworden zijn als er niets gedaan werd. Met de PO-Raad, de VO-raad, de uitgevers en met iedereen is het gesprek aangegaan, terwijl de staatssecretaris van niets wist. Het enige wat hij wist was dat men bezig was met privacy. Dat is een goede zaak! Ik zie het als volgt. Er komt een brisant rapport uit waarin staat dat er grote problemen zijn. Ambtenaren gaan aan het werk en gaan met allerlei vertegenwoordigers spreken. Dan is het toch vrij bijzonder dat zowel de staatssecretaris als de Kamer niet wisten dat dit de oorzaak was van intensieve gesprekken met al die vertegenwoordigende organen? 

Ik denk dat de volgordelijkheid belangrijk is. De genoemde acties zijn niet gestart nadat het rapport er lag. Het Doorbraakproject Onderwijs & ICT is kort na de start van dit kabinet begonnen. Toen is het thema "privacy" onmiddellijk op tafel gekomen. Er zijn heel snel allerlei thema's geïdentificeerd die een rol zouden kunnen spelen, waaronder het thema waar de heer Rog en Van Meenen aan refereerden: hoe zorg je voor genoeg tegenkracht vanuit het onderwijs tegen de uitgeverijsector? Hoe zorg je ervoor dat je scholen ontlast door te werken met modelovereenkomsten? Daar is samen met de sectorraden, Kennisnet en heel veel andere betrokken partijen naar gekeken. Op een goed moment werd door de ambtelijke organisatie, de PO-Raad en de VO-raad besloten dat onderzocht moest worden of men wellicht nog iets over het hoofd zag. Daarvoor is op vier scholen door PwC gekeken welke kwesties in de praktijk speelden. Het beeld dat daaruit kwam, strookte met het beeld dat iedereen al had. Het sloot ook aan bij de acties die reeds in gang waren gezet. Het beeld dat er een stevig rapport lag en dat men toen aan de slag is gegaan, is niet juist. Er was al heel veel in gang gezet. Het rapport was een validatie om te kijken of we alles scherp in het vizier hadden. Dat bleek het geval. Vervolgens is er voortvarend doorgewerkt aan de dingen die eerder in gang gezet waren. 

Als alles scherp in het vizier was, hoefde men niets te onderzoeken. Er werd een onderzoek gedaan naar Basispoort en hoe dat werkte. Uit het rapport bleek dat er eigenlijk niets van klopt, als het wordt bezien in het licht van de privacy. Het is toch echt bijzonder dat er geen enkele alarmbel ging rinkelen, ook niet bij de staatssecretaris, maar dat men gewoon het gesprek voortzette alsof er niets gebeurd was: we waren er al mee bezig, goed om te weten dat het een puinhoop is maar we gaan er gewoon mee verder. Nogmaals: ik was van plan om er niks van te zeggen, maar door het voortgaan van deze vragenronde beginnen bij mij nu ook vraagtekens te komen. Stel dat er weer zo'n rapport komt, dat er weer iets onderzocht wordt wat in eerste instantie ondersteunend voor het beleid moet zijn maar wat toch aanleiding geeft tot enig alarm, is de staatssecretaris dan bereid om zulke rapporten voortaan wel met de Kamer te delen? 

Laat ik refereren aan de vraag van de heer Van Meenen waarin hij vroeg of ik bereid ben om het een keer sectorbreed te bekijken. Dan krijg je een representatief beeld, dat volgens de desbetreffende onderzoekers iets zegt over de sector. Dan heb je een betrouwbaar, valide beeld van hoe het zit. Dat onderzoek loopt. De heer Van Meenen krijgt dat ook. Sterker nog, hij krijgt dat op zeer korte termijn. Ik meen dat het binnen enkele maanden is afgerond. 

Gaat u verder met uw betoog. 

Ik wil graag beginnen aan de drie belangrijke blokken die ik zojuist noemde. Het moet juridisch gezien volstrekt helder zijn dat scholen een beperkte set aan persoonsgegevens mogen uitwisselen met uitgevers als dat voor onderwijsdoelstellingen noodzakelijk is. Dat raakt aan een aantal vragen die de Kamer heeft gesteld. De toetssteen is steeds: is dit noodzakelijk om goed onderwijs te geven? De Wet bescherming persoonsgegevens staat scholen toe om persoonsgegevens te verwerken voor zover dat nodig is om hun onderwijstaak uit te voeren. De grondslag daarvan ligt in artikel 8. Daarmee mogen ze deze persoonsgegevens dus ook verwerken als dat nodig is om digitale leermiddelen goed in te zetten. 

In het vrijstellingsbesluit van diezelfde wet is zelfs een specifieke bepaling opgenomen, artikel 19, waarin staat dat scholen voor de verwerking van gegevens voor het verstrekken of ter beschikking stellen van leermiddelen geen melding hoeven te doen aan het CBP, omdat het eigenlijk gaat om vrijstellingen voor, wat genoemd wordt, evidente verwerking. Scholen mogen bij de uitvoering van hun taak ook andere partijen, zoals uitgeverijen, inschakelen, mits, zeg ik met nadruk, er goede afspraken en een bewerkersovereenkomst onder liggen. Partijen moeten zich daar ook aan houden. Ik vind dat ouders daar nadrukkelijker bij betrokken mogen worden. Ik zal daar in het laatste blok als apart thema graag heel specifiek op terugkomen. Uitgevers mogen die gegevens niet zelf voor andere doeleinden gebruiken. Denk aan doorverkopen, te lang opslaan of meer dan een beperkte set aan gegevens hebben. Ook dat moet volstrekt helder zijn. 

We kunnen constateren dat de omgang met persoonsgegevens en de verplichtingen die daaruit voortvloeien, ook uit de wet, voor een gemiddelde school niet altijd even gemakkelijk zijn. Met de PO-Raad en de VO-raad vind ik dat de school verantwoordelijk is voor de persoonsgegevens van leerlingen, maar we kunnen de scholen daarin wel ondersteunen, bijvoorbeeld door zaken te verhelderen en door de sector te helpen om dingen beter te organiseren. Ook dan moeten we onder ogen zien dat we systemen nooit voor de volle honderd procent sluitend kunnen maken. Er zullen altijd beveiligingsrisico's zijn. Dat is voor scholen en voor aanbieders van leerstof niet anders dan voor heel veel andere sectoren. Het is eigenlijk een maatschappelijk probleem. Ook in het onderwijs hebben we last van hackers, mensen die illegaal in data willen neuzen en die op zoek zijn naar beveiligingslekken. Het is zaak om daar met elkaar de juiste maatregelen voor te treffen om incidenten zo veel mogelijk te voorkomen. Dat gebeurt nu dus ook. Mij zijn geen grote incidenten op dat vlak bekend. Maar we kunnen er ook donder op zeggen dat het een keer fout gaat. Tijdens het rondetafelgesprek werd bijvoorbeeld gesproken over het hacken van Magister. Het is voor een deel ook mensenwerk. Als er slordig wordt omgesprongen met passwords of als mensen USB-sticks aannemen waarvan ze niet weten van wie die komen, en ze die gebruiken in computers waar bijvoorbeeld leerlingvolgsystemen op draaien, zijn daar risico's aan. 

Dan de wet- en regelgeving. Daarover heb ik een en ander afgeleid uit het rondetafelgesprek dat de Kamer heeft gevoerd. Verschillende partijen hebben daarin aangegeven dat de wet als zodanig voldoende waarborgen biedt, maar dat er wel een en ander te verbeteren valt aan de toepassing in de praktijk, aan de kennis bij scholen en aan de concrete uitwerking van de manier waarop je er op een zorgvuldige manier mee omgaat. 

Heel concreet vroeg mevrouw Ypma hoe de manier waarop het nu is geregeld zich verhoudt tot het kinderrechtenverdrag. Is dat niet op de een of andere manier geschonden? Ik denk dat ik mevrouw Ypma gerust kan stellen: dat is niet het geval. In het verdrag staan de verplichtingen waaraan de Staat zich moet houden. Een van die verplichtingen is dat de Staat ervoor moet zorgen dat geen enkel kind onderworpen is aan willekeurige of onrechtmatige inmenging in zijn privéleven. Nederland voldoet aan die verdragsbepaling, bijvoorbeeld door de Wet bescherming persoonsgegevens. Daarin zijn waarborgen opgenomen voor een zorgvuldige verwerking van persoonsgegevens, waaronder die van kinderen. Dat betekent dat we in Nederland voldoende wettelijke waarborgen bieden om een en ander te garanderen. 

De vraag is natuurlijk altijd hoe dat uitpakt in de praktijk. Zo kom ik bij mijn tweede blok. Ik zie het als mijn verantwoordelijkheid om scholen en sectorraden te ondersteunen. Ik noemde het doorbraakproject al. Een organisatie als Kennisnet wordt door ons financieel ondersteund. Kennisnet maakt concrete handvatten en is altijd een vraagbaak voor scholen. Scholen die het even niet weten kunnen terecht op een website waarop een schat aan informatie staat. 

De sectorraden hebben er ook een belangrijke rol in. Ik werk veel met hen samen op dit thema. Zij gaan scholen van de benodigde kennis en ondersteuning voorzien, zodat scholen beter in staat zijn om hun verantwoordelijkheid waar te maken. Ik kom op heel korte termijn, begin februari, terug met een uitgebreider overzicht van wat het Doorbraakproject Onderwijs & ICT omvat. Privacy is er een belangrijk onderdeel van, maar het heeft verschillende andere onderdelen, die voor de Kamer minstens net zo interessant zullen zijn. 

De staatssecretaris noemde Kennisnet, dat de Kennisnet Federatie heeft. Dit is een "single sign on"-portal waarmee het onderwijs verschillende applicaties kan benaderen. Daarbij is de privacy gewaarborgd. Deze zaken zijn dus geregeld bij de Kennisnet Federatie. Hoe kan er aan de andere kant iets als Basispoort ontstaan? Dat ontwikkelt zich hier los van. Heel veel scholen gaan daarin mee terwijl er dus een alternatief voorhanden is. 

Die markt is enorm divers. Ook buiten Basispoort bieden verschillende uitgeverijen dingen aan scholen aan. Het is aan de scholen om te kiezen waarmee ze in zee willen en onder welke voorwaarden. Daarom ben ik weleens stellig geweest naar scholen die zeiden: we werden gedwongen om Basispoort af te nemen. Ik zei dan: nee, daar bent u zelf bij geweest, u had ook gewoon nee kunnen zeggen. De portal van Kennisnet is in zijn functionaliteit nog vrij beperkt. Ik denk dat de oplossingen wat breder moeten zijn. Ik wil een aantal dingen aangeven waarvan ik denk dat ze breder toepasbaar zijn. Misschien wel de belangrijkste daarvan is — daarmee haal je direct de enorme angel eruit — de pseudonimisering van de basisgegevens van kinderen. Datgene wat wordt afgegeven is vaak voornaam, achternaam en geboortedatum. De vraag is of je dat verder kunt minimaliseren door te werken met pseudoniemen. 

Ik ben blij met dit antwoord van de staatssecretaris. Ik wil hem er nog wel op wijzen dat er nieuwe toetreders zijn op deze markt die zeggen dat pseudonimisering al ouderwets is; je zou die data bij ouders neer kunnen leggen waarbij zij individueel toestemming kunnen geven om die data te gebruiken. Is de staatssecretaris op de hoogte van deze nieuwe ontwikkelingen en, zo ja, gaat hij die dan ook meenemen in de afspraken die er nu gemaakt gaan worden in het onderwijs zodat het ook een soort basisset gaat worden van randvoorwaarden die scholen gaan gebruiken als zij met ICT-middelen aan de slag gaan? 

Ik vind dat je altijd bij dit soort dingen moet kijken naar alle nieuwe mogelijkheden die er zijn. Ik ken deze ontwikkeling nog niet maar ik zal er serieus induiken. Dat laat onverlet dat ik nog steeds van mening ben dat het toewerken naar pseudonimisering enorm kan helpen. Mevrouw Ypma zei hiervan: het liefst zie ik dat morgen al. Welnu, dat geldt ook voor mij. We werken er in ieder geval wel aan. Ik zal straks nog iets zeggen over het tijdpad. Het is overigens ook best ingewikkeld om dat te doen. Als je het op een goede manier wilt doen, waarbij al die systemen bij de uitgeverijen blijven draaien en waarbij als een kind van de ene school naar de andere school verhuist, niet al zijn gegevens verloren gaan, dan vraagt dat ook in technische zin behoorlijk wat. 

Ik sprak al over het hoofdthema van de pseudonimisering. Ik vind het echt enorm belangrijk dat we daarmee nu tempo gaan maken. Er loopt op dit moment een call om te kijken aan welke voorwaarden het moet voldoen. Dan moet het worden ontworpen en getest en dan zou de definitieve uitrol in 2016 kunnen zijn. De invoering van zo'n pseudonaam of -nummer moet wel zorgvuldig gebeuren. Het pseudoniem moet veilig en betrouwbaar zijn als het gaat om het bestellen, het betalen, het leveren en het toegang geven tot leermateriaal, maar ook als een kind verhuist. Volgens een conservatieve schatting zijn er al gauw zo'n 60 partijen in het primair en voortgezet onderwijs en het mbo die straks hun systemen moeten aanpassen, variërend van administratiepakketten tot leerlingvolgsystemen, digitale leeromgevingen, uitgevers en distributeurs. Al die partijen moeten testen. Procedures moeten worden aangepast. Bovendien moet het in een keer goed gaan. Ik wil er niet aan denken dat leerlingen straks niet bij hun materiaal kunnen, dat het straks niet een waterdicht systeem is en dat het niet goed loopt, want dan hebben scholen, ouders en leerlingen een groot probleem. ICT-projecten met deze omvang en met dit doel vragen nu eenmaal tijd. Dat is misschien wel een van de belangrijkste conclusies die ook de commissie-Elias ons laatst voorschotelde. Laat ik er helder over zijn: ik heb geen enkel belang om het ook maar een dag langer te laten duren dan strikt noodzakelijk. Dus snelheid is wat mij betreft belangrijk maar zorgvuldigheid en kwaliteit zijn voor mij in dit proces misschien nog wel belangrijker. 

Ik ben heel blij dat te horen. Ik denk ook dat de staatssecretaris er inderdaad geen enkel belang bij heeft om het langer te laten duren. Hij geeft tegelijkertijd ook aan waarom het best ingewikkeld is. Ik citeer hem: ook alle systemen bij de uitgeverijen moeten blijven draaien. Maar daar zit nu precies het probleem. Ik vind dat de staatssecretaris te veel oog heeft voor de commerciële belangen van deze partijen en te weinig oog heeft voor de privacy van onze kinderen. Ik vind dat deze staatssecretaris ervoor moet zorgen dat het liefst morgen maar in ieder geval voor het begin van het volgende schooljaar alle kinderen gepseudonimiseerde gegevens hebben. Als hij dat niet toezegt, zal ik een motie hierover indienen. Want hoe kan het dat ik op mijn telefoontje gewoon met software-updates iedere keer die software kan verbeteren, maar dat dit niet mogelijk is met die leerlinggegevens? 

Het gaat mij absoluut niet om de commerciële belangen van welke partijen dan ook. Het gaat mij om goed draaiende systemen. Dat vraagt ook om een technische ontwikkeling en om testen. Voordat je een systeem uitrolt over heel Nederland, moet je dat eerst een tijdje proberen, want soms komen fouten pas na verloop van tijd bovendrijven. We zien dat bij alle grote bedrijven die werken met applicaties die op grote schaal worden gebruikt door klanten, door afnemers. In dit geval wordt het gebruikt door scholen, ouders en leerlingen. Je kunt dan niet over één nacht ijs gaan. Ook vanuit een technisch oogpunt — ik heb het helemaal niet over commerciële belangen — vraagt dat om tijd. Ik kan geen ijzer met handen breken. 

Tegen mevrouw Ypma zeg ik: ik zit er bovenop en zet mijn beste mensen hierop. Zij zitten hier al op. Ik laat mij er ook niet van weerhouden als uitgeverijen zeggen dat dit geld kost. Ze moeten die investering dan maar doen. Ik vind echter wel dat we de tijd moeten nemen om de techniek goed uit te testen, verder te ontwerpen en te laten draaien. 

Natuurlijk moet dit goed gebeuren. Daar ben ik het mee eens. Ik vind echter wel dat we dit zo snel mogelijk moeten doen. Er zijn allerlei nieuwe technieken. Collega Straus wees daar zojuist ook op. We hebben Kennisnet. Dat kan dit al. Het kan dus al, op allerlei mogelijke manieren. Ik doe nog een laatste poging. Als de wil er is om het te versnellen en om dit project ook echt een doorbraak te laten zijn, kan de staatssecretaris dan toezeggen dat hij ervoor gaat zorgen dat de leerlinggegevens zijn gepseudonimiseerd voor het begin van het komende schooljaar? 

Het tijdpad wordt steeds ambitieuzer. Dit stond aanvankelijk gepland voor het einde van dit kalenderjaar. Nu wordt gesproken over het begin van het volgende schooljaar. Dat is een halfjaar eerder. Ik kan geen ijzer met handen breken. Als het kan, zou mijn antwoord daarop onmiddellijk "ja" zijn. Ik moet echter ook de mensen die hiermee bezig zijn beschermen. Ik vraag ook enige realiteitszin van de Kamer. Een parlementaire commissie heeft onlangs gezegd: pas op dat je de planning van dit soort ingewikkelde ICT-projecten niet al te veel door de politieke wens laat leiden en kijk juist naar wat realistisch is. We moeten daar zorgvuldigheid bij betrachten zodat het straks ook echt werkt, anders voeren we hier straks misschien een veel ingewikkelder debat over een veel grotere kwestie. Met het oog daarop is het niet reëel om te veronderstellen dat dit in 2015 nog gaat lukken. 2016 is een heel ambitieus tijdpad. We moeten echt alles op alles zetten om dat te halen. 

Mevrouw Ypma heeft gezegd dat het al gebeurt in andere sectoren. Ik ben dat uiteraard nagegaan. Ze refereerde bijvoorbeeld aan het voortgezet onderwijs. Hetgeen daar gebeurt, biedt geen soelaas voor het volledige onderwijs. Ook in het voortgezet onderwijs wordt op dit moment met digitale pakketten gewerkt, waarbij vooralsnog gewoon met voor- en achternaam wordt ingelogd. Een goed en sluitend systeem waarin ook dat gepseudonimiseerd wordt, is niet voorhanden. Dan hadden we het misschien gewoon gekopieerd. Dat is dus echt iets wat goed moet worden opgepakt. 

Die anonimisering of pseudonimisering moet zo snel en goed mogelijk gebeuren. Ik twijfel er niet aan dat de staatssecretaris dat ook wil. De vervolgvraag luidt: wat doen we met de persoonlijke gegevens die de uitgevers nu hebben? Die zijn immers nog wel op naam traceerbaar et cetera. Alleen al vanwege het gevaar van een lek, de risico's dat de gegevens op een verkeerde plek terechtkomen, zou je dus moeten willen dat de uitgevers die gegevens niet meer hebben ofwel dat ze vernietigd worden. Deelt de staatssecretaris de mening dat we daarnaar moeten streven? 

Ik vind dit een belangrijk aandachtspunt dat ik ook zal meenemen in de gesprekken die wij voeren met de PO-Raad, de VO-raad en de uitgeverijen over de vraag hoe dit op een goede manier kan worden vormgegeven. Er zitten twee kanten aan het verhaal. Aan de ene kant wil je kijken hoe een kind zich ontwikkelt. Als je alles wat er is, vernietigt, zou je die informatie ook onmiddellijk kwijt zijn. Dan begint alles weer opnieuw. Aan de andere kant wil je natuurlijk wel dat, als we richting pseudonimisering gaan, dat dan ook gewoon onmiddellijk voor iedereen geldt. Als dat te doen is en als dat ook de wens is van de scholen en bijvoorbeeld ook van de Landelijke Ouderraad, dan neem ik dat heel serieus. Dan moet dat ook beklonken worden in de afspraken met de uitgeverijen. Ik wil dat echter ook met hen bekijken, omdat het een afweging is van aan de ene kant het behoud van die doorgaande lijn, het zicht op de ontwikkeling van kinderen, en aan de andere kant de vraag wat je met de oude, nog niet gepseudonimiseerde gegevens doet. 

Het antwoord stelt mij nog niet helemaal gerust. De staatssecretaris houdt wat slagen om de arm en verwijst naar de Landelijke Ouderraad. Als de staatssecretaris toch met ouders gaat praten, dan zou ik zeggen: praat ook met OUDERS VAN WAARDE en met de VOO. Zou hij niet uit zichzelf moeten zeggen: vanzelfsprekend moeten die gegevens verdwijnen, want dat is levensgevaarlijk? Ook al gaan we even uit van de goede bedoelingen van de uitgevers, dan nog is er een risico op een hacker, op een lek, zoals zelfs al aan de orde is geweest. Dus wij moeten daarvan af. Dat kan ook, want op het moment dat er is gepseudonimiseerd, zijn die gegevens niet meer relevant. Dan moeten wij als politiek zeggen: weg ermee, in de prullenbak! 

Ik vind dat wij ervoor moeten oppassen dat de politiek zegt: weg ermee. Laten wij uitgaan van wat scholen graag willen. Die hebben zelf gezegd naar pseudonimisering te willen gaan. Laten wij daar ook de ouders bij betrekken. Hoe kijken die ertegenaan? Ik vind het goed als dingen weggegooid worden bijvoorbeeld als een kind uit het onderwijs gaat of een volgende stap zet, of als een school beslist om niet langer een bepaalde methode te gebruiken. Als een school echter dezelfde methode wil gebruiken, wil die school ook iets zien over de doorgaande lijn in de ontwikkeling. Ik begrijp het punt van de heer Van Dijk volledig. Ik zal dat nadrukkelijk onder de aandacht brengen. Ik houd echter een slag om de arm, omdat ik daar de scholen en de ouders nog niet over heb kunnen horen. 

Misschien is het ook technisch op te lossen, zeg ik onmiddellijk tegen de heer Van Dijk. Wij zouden immers ook kunnen bekijken of alles wat nu op naam staat, op pseudoniem gezet kan worden. Dat moet dan wel gebeuren op een zorgvuldige manier, zodat de uiteindelijke naam niet herleidbaar is. Dat is vooral een kwestie van techniek. Ik hoop dat ik de heer Van Dijk voldoende heb beantwoord, anders ... 

Wij hebben ook nog de tweede termijn. 

Pseudonimisering is een belangrijk punt, een van de grootste punten, maar het is niet het enige wat er gebeurt. Naast de techniek van het pseudonimiseren zijn betere afspraken tussen school en leveranciers minstens zo belangrijk. Daarom wordt op dit moment hard gewerkt aan een convenant en een model-bewerkersovereenkomst waarmee scholen concrete producten in handen krijgen die direct tot verbeteringen in de praktijk leiden. De convenanten worden afgesloten door de sectorraden namens de scholen, in eerste instantie met de aanbieders van leermiddelen en informatiesystemen, maar wij voorzien dat de werking zich zal gaan uitstrekken over alle partijen waarmee scholen gegevens uitwisselen. Het convenant moet ervoor zorgen dat duidelijk is wie welke rol heeft en welke richten en plichten men heeft. Uitgangspunt daarbij is dat de school de regie houdt over de gegevens en de verstrekking daarvan aan andere partijen. In het convenant wordt ook aandacht besteed aan de beveiliging van gegevens, voorlichting door partijen en bewaartermijnen. 

Tegen de heer Van Meenen zeg ik dat een van de belangrijkste dingen is dat scholen ontlast worden. De scholen zijn verantwoordelijk en hebben te maken met ingewikkelde wet- en regelgeving. Dat geldt overigens op heel veel andere terreinen. Ik noem de wet- en regelgeving op het vlak van arbo en arbeid. Het helpt dan natuurlijk als er vanuit de sector zaken beschikbaar komen, zodat wij tegen de scholen kunnen zeggen: als je het op deze manier doet, als je deze contracten gebruikt en deze afspraken maakt, dan is het goed en degelijk geregeld. 

Het is daarbij belangrijk dat er een groot draagvlak onder dat convenant ligt. Dat is een belangrijke voorwaarde voor de naleving daarvan. Ik stel voor dat als het convenant er is, wij dat aan een aantal partijen voorleggen. Ik denk aan het College bescherming persoonsgegevens, de experts op dat vlak, de Landelijke Ouderraad en de Kinderombudsman. De Kinderombudsman was in de afgelopen weken kritisch. Ik heb vandaag nog contact met hem gehad en met hem doorgesproken welk proces doorlopen wordt met het convenant en de daaronder hangende model-bewerkingsovereenkomsten. Hij kijkt graag mee, ook om te bewerkstelligen dat alle partijen straks op één lijn zitten. 

Mevrouw Straus vraagt waarom scholen op dit moment onvoldoende gebruikmaken van de expertise die er al is. Wie op de website van Kennisnet kijkt, ziet al enorm veel dingen die gebruikt kunnen worden. Ik denk dat dit voor een deel met bewustwording te maken heeft. Privacy staat nog onvoldoende op het netvlies en er is nog onvoldoende kennis over de wet- en regelgeving. Met andere woorden, er wordt gehandeld met gezond verstand. Dat gaat ook heel vaak heel goed, maar het brengt wel risico's met zich mee. Die kunnen wij verkleinen door het beter en professioneler te organiseren. 

Ik zei net iets over het onderzoek. Op dit moment loopt er een representatief onderzoek onder scholen om te kijken waar zij staan en wat hun kennis is. Ik wil dat onderzoek straks ook doen bij de afspraken die uit het convenant komen. Ook daarvan vind ik dat zij moeten worden gemonitord. Daarop moet op de een of andere manier toezicht zijn zodat wij weten wat er gebeurt en dat wij de vinger aan de pols kunnen houden. 

Mevrouw Ypma vroeg waarom de uitgevers de gegevens niet direct hebben gepseudonimiseerd. Dat heeft er ook mee te maken dat het verstrekken van een pseudoniem moet gebeuren door een partij die door iedereen wordt vertrouwd en die eigenlijk buiten de uitgevers zelf ligt. Daarvan vind ik ook dat het eigendom bij de scholen moet liggen. 

Mevrouw Ypma heeft een vraag op het vorige punt. 

Ik ben het ermee eens dat die gegevens bij een onafhankelijke, betrouwbare partij zouden moeten liggen, dus van de scholen zelf zouden moeten zijn. Maar Basispoort is toch niet van de scholen? Dat is toch van de uitgeverijen? Daar liggen nu die gegevens. Dus hoor ik de staatssecretaris nu pleiten voor een onafhankelijke publieke organisatie waar die gegevens liggen, à la Kennisnet? 

Er zijn gegevens en gegevens. Het is belangrijk dat wij die uit elkaar houden. Uitgeverijen hebben gegevens, bijvoorbeeld hoe kinderen rekensommen maken. Die hebben zij nodig. Neem bijvoorbeeld Rekentuin. Als een kind heel goed is in optelsommen, krijgt het wat meer aandacht op de onderdelen waarin het minder goed is. Dat zijn adaptieve systemen, die de gegevens bevatten die uitgeverijen nodig hebben om ervoor te zorgen dat het lesmateriaal goed werkt. De vraag is of een uitgeverij ook de identiteit moet hebben: wie is nu de leerling die aan de andere kant van het scherm zit? Van het eerste kan ik me iets voorstellen dat uitgeverijen die gegevens moeten hebben. Van het tweede kun je zeggen dat dat gebruik nog verder beperkt moet worden dan nu het geval is. Uitgeverijen krijgen nu ook niet een hele trits gegevens. Vaak gaat het dan alleen maar om de naam, de voornaam, achternaam en geboortedatum, maar je zou dat nog verder kunnen minimaliseren door uit te gaan van een pseudoniem. De gegevens over dat pseudoniem moeten dan uiteraard niet bij de uitgeverij liggen maar bij de scholen of bij een andere organisatie die het voor de scholen organiseert. Maar de leerontwikkeling, onder het labeltje van het desbetreffende pseudoniem, kan dan nog wel steeds door de uitgever worden bewerkt en geanalyseerd. 

Helemaal aan het einde van mijn eerste termijn heb ik in reactie op de inbreng van de heer Van Dijk betoogd dat er een onafhankelijke publieke instelling zou moeten zijn, een instelling die transparant is en die toeziet op goede en zorgvuldige omgang met de gegevens van onze kinderen. Als ik het goed begrijp, hoor ik de staatssecretaris daar ook voor pleiten. Klopt dat? 

Niet helemaal. Er zijn dingen die je moet onderscheiden. Het toezicht op de sector ligt primair bij het College bescherming persoonsgegevens. Dat is de handhavende instantie. Ik vind dat dat niet de instantie moet zijn die ook de beschikking heeft over persoonsgegevens. 

Ten tweede vind ik dat je bij de vraag waar welke persoonsgegevens naartoe mogen goed moet kijken of die persoonsgegevens ergens echt nodig zijn. Dat doen wij als overheid ook. We hadden hier nog niet zo lang geleden bijvoorbeeld een discussie over ons eigen systeem, BRON, waar veel informatie in zit, zoals een leerlingnummer en een leerlingkenmerk. Ook daarbij gaan we er steeds van uit dat wij als overheid het minimale willen weten om ons toezicht en ons werk goed te kunnen doen. Dat zou eigenlijk ook voor scholen moeten gelden. Scholen moeten ook niet meer aan ouders vragen dan ze zelf nodig hebben om goed onderwijs te kunnen geven. Dat geldt vervolgens ook voor uitgeverijen. Uitgeverijen moeten alleen datgene krijgen wat zij nodig hebben om ervoor te zorgen dat een kind goed met een lesmiddel kan werken. 

Gevraagd is of je niet een soort grote organisatie kunt vinden die veilig is en waar dat allemaal in zit. Dat klinkt misschien heel vertrouwd, maar het brengt ook een heel groot gevaar met zich mee. Als daar ingebroken wordt, hebben we namelijk pas echt een probleem. Dat is dus een organisatie die heel veel gegevens van kinderen bij elkaar heeft. Wie moet die organisatie gaan runnen? Ik weet niet of ouders en scholen zich er erg prettig bij voelen als er een soort overheid is die niet alleen het onderwijsnummer van een kind bijhoudt en die niet alleen maar kijkt met welke diploma's het slaagt, maar die ook precies weet hoe het in de tussenliggende tijd zijn leerlingvolgsysteemtoetsjes of zijn opgaven maakt. 

Mijnheer Van Dijk, hebt u een vraag over hetzelfde punt? 

Ja. De staatssecretaris schetst een soort bigbrothersituatie. Die willen we natuurlijk geen van allen. Aan de andere kant willen we evenmin dat de gegevens van onze kinderen bij commerciële partijen liggen. Daar gaat het debat vandaag over. Zij kunnen immers ook een agenda hebben. Hoe kan de staatssecretaris ons nou geruststellen? Hoe wordt het toezicht op die informatie verbeterd? 

Dat gebeurt op een aantal manieren. Het begint preventief. Er kan en moet ook aan de voorkant veel gebeuren om ervoor te zorgen dat het fundament goed is, dat er goede bewerkersovereenkomsten zijn, en dat scholen in gesprekken en in contracten met uitgeverijen geen afspraken maken over de overdracht van meer gegevens dan strikt noodzakelijk. Op dit moment wordt er in het convenant met modelovereenkomsten gewerkt aan afspraken die daaraan voldoen. Dat is in mijn ogen al een eerste, heel belangrijke voorwaarde. Vervolgens moet iedere partij zich aan de wet houden. De school moet zich aan de wet houden en de uitgeverij moet zich aan de wet houden. We hebben in dit land een waakhond voor als er dingen gebeuren die niet mogen. Het College bescherming persoonsgegevens kan daarnaar kijken. De vraag van mevrouw Ypma was wat het CBP nou kan doen. Het kan ingrijpen, handhaven en boetes uitdelen. Die boetes gaan omhoog om ervoor te zorgen dat de afschrikwekkende werking alleen maar groter wordt. Overigens hebben we in het recente verleden gezien dat een bedrijf ook echt op zijn vingers is getikt. Dat gebeurde in het specifieke geval van Snappet, een weliswaar kleine uitgeverij. Dat laat zien dat er aan de andere kant een sluitstuk is. 

Je ziet in de afgelopen maanden dat er veel ongerustheid is en ook dat er veel interpretatieverschillen zijn. De staatssecretaris zegt dat het doorgeven van gegevens wel mag. Anderen zeggen dat het niet mag. Je zou dus bijna kunnen zeggen dat daar een juridische discussie over is. Ook wordt er geklaagd over het passieve optreden van het College bescherming persoonsgegevens. Het kijkt bijvoorbeeld pas achteraf en zou te weinig personeel hebben om goed te kunnen optreden. Herkent de staatssecretaris dat? En is er een manier om het CBP actiever te laten controleren op privacyvraagstukken in het onderwijs? 

Ik heb die indruk niet. Ook in de voorbereiding hierop heb ik juist de indruk gekregen dat het CBP wil meedenken. Het CBP zegt dat het mensen niet alleen achteraf op de vingers wil tikken als het niet goed gaat, als een soort waakhond of politieagent. Het vindt het veel belangrijker om er ook aan de voorkant voor te zorgen dat dit in de uitwerking van goede bewerkingsafspraken op een goede manier geregeld is. Er valt dan ook minder te handhaven, want iedereen houdt zich dan op een goede manier aan de wet. Ik heb juist de indruk dat het CBP richting ons volledig bereid is mee te denken en te kijken met een modelbewerkersovereenkomst. Dat heeft het ook aangegeven. Ik heb juist de indruk dat het CBP de volle bereidheid heeft om mee te denken over een dergelijke modelbewerkersovereenkomst. 

Ik heb de staatssecretaris gevraagd of hij bij het CBP de vraag wil neerleggen of die persoonsgegevens wel bewerkt mogen worden en of het verstrekken van leerlinggegevens in strijd is met de privacywetgeving of de internationale kinderrechtenverdragen. Ik hoop dat de staatssecretaris deze vraag in zijn eerste termijn kan meenemen, want dat kan voorkomen dat ik hierover een motie moet indienen. 

Ik heb zojuist aangegeven hoe de internationale regelgeving en de kinderrechten in Nederland in de Wbp zijn verankerd. Ik heb geen aanleiding om aan te nemen dat het niet goed zou zitten, maar misschien kan ik de heer Rog geruststellen door het nog een keer expliciet na te gaan bij het College bescherming persoonsgegevens. Ik vermoed dat dit debat nog wel meer open eindjes zal opleveren en dat ik de Kamer daarover schriftelijk moet informeren. Als dat zo is, zal ik dan ook hierover schriftelijk terugkoppelen. 

Voorzitter. Ik heb al iets gezegd over de tanden van het CBP. Mevrouw Ypma deed in dit verband eigenlijk een goede suggestie toen zij vroeg of het CBP en de inspectie wel goed samenwerken. Dat is een nuttige suggestie, omdat de inspectie bij haar bezoeken aan scholen dingen tegenkomt. De inspectie kan daardoor een belangrijke signaalfunctie vervullen, ook richting het CBP. Het CBP doet als onafhankelijke toezichtsorganisatie geen uitspraken over de indicaties die het krijgt en over welke onderzoeken het wel of niet doet. Het is wel belangrijk dat het CBP signalen krijgt als er iets niet helemaal in orde is en daarbij kan de inspectie een belangrijke rol spelen. Ik zal nagaan hoe deze twee organisaties dichter bij elkaar kunnen komen. 

Mevrouw Straus vroeg of het een idee is om te gaan werken met privacy impact assessments. Dat doen wij eigenlijk al langere tijd op basis van de bestaande wet- en regelgeving, juist omdat wij het zo'n belangrijk onderwerp vinden. Ik kan me echter ook voorstellen dat straks in het convenant en de modelovereenkomsten wordt vastgelegd dat hierover op schoolniveau afspraken moeten worden gemaakt. 

De staatssecretaris verwijst naar het convenant en de modelafspraken en daarover zou ik hem graag nog een vraag stellen, omdat het mij niet helemaal helder is. Wordt dit convenant enkel gesloten tussen de aanbieders van Basispoort en de partijen in het onderwijs of wordt dit convenant de basis voor alle afspraken met ICT-dienstverleners in het onderwijs? Moeten met andere woorden ook nieuwe dienstverleners op basis van het convenant hun nieuwe ontwikkelingen vormgeven? 

Wij proberen, het zo breed mogelijk te laten zijn. Hoe breder en hoe meer draagvlak er is, hoe makkelijk het wordt om het straks na te leven. Wij kijken dus wel degelijk verder dan alleen Basispoort. Maar er komen dan ook steeds nieuwe partijen bij. Iedere dag kan iemand besluiten om een eigen bedrijf te beginnen. Misschien sluit het ook wel aan bij het principe van privacy by design. Je moet volgens mij met de industrie, de sector en de uitgeverijen goede afspraken kunnen maken over de manier waarop je privacy vanaf het allereerste moment onderdeel laat uitmaken van de ontwikkeling van een systeem. Maar wij hebben de uitgeverijen in dit land natuurlijk niet aan een lijntje. 

Wat we wel kunnen doen, is ervoor zorgen dat de sector hierover collectief een uitspraak doet. Als het onderwijs unaniem zou zeggen "wij nemen alleen nog maar af bij partijen die hier-, hier- en hieraan voldoen of die werken met privacy by design", dan is dat een enorm krachtig signaal. Ik vermoed dat de markt dan ook uit zichzelf de daad bij het woord gaat voegen, want voldoet een bedrijf hier niet aan, dan verkoop het geen enkel pakket of abonnement meer. 

Dat is precies waar ik naar op zoek ben. Hoe kunnen we met elkaar zodanige randvoorwaarden afspreken voor de privacy dat individuele scholen die kunnen gebruiken als een model dat zij bij een ICT-leverancier van leermiddelen kunnen neerleggen? Een school moet kunnen zeggen: luister, wij willen zaken met jou doen, maar als jij een programma voor ons ontwikkelt, dan moet je het wel op deze manier invullen. Is dit ook de intentie van het convenant dat de staatssecretaris met partijen in de sector wil afsluiten? Daar was ik naar op zoek. 

Dat is absoluut de insteek. Het helpt natuurlijk altijd om daarover overeenstemming te bereiken. Het onderwijs kan een heel krachtig signaal afgeven maar vervolgens maanden bezig zijn met steggelen met uitgeverijen. Als scholen geen gebruik meer kunnen maken van die lespakketten, hebben ze ook een probleem. Ik heb dus het liefst dat de partijen het aan de voorkant, in een convenant, zo breed mogelijk eens worden over het kader waarbinnen dit zou moeten gebeuren. Het onderwijs mag zich daarin sterker profileren. Het mag zijn eisen sterker op tafel leggen. In ieder geval heeft dat mijn volledige steun. 

Voorzitter. Voordat ik overga tot het specifieke thema van het erbij betrekken van ouders, ga ik nog in op de vraag van de heer Van Meenen of er ook dit jaar een privacymaand wordt georganiseerd. Sterker nog, op de NOT, die volgende week begint, is een stand waarmee hieraan aandacht wordt besteed. Ook later in het jaar zal er een moment zijn waarop er bij scholen massaal extra aandacht wordt gegenereerd voor dit thema, naast alle trajecten die al lopen en waarover ik zojuist heb gesproken. 

Ik kom op mijn laatste punt, het erbij betrekken van ouders. Ik vind het heel belangrijk dat vertegenwoordigers van ouders betrokken worden bij de totstandkoming van het convenant en bij de invulling van het systeem dat gaat werken met pseudonimisering. Op korte termijn ga ik daarover het gesprek aan met ouderorganisaties om ervoor te zorgen dat ook die invalshoek wordt meegenomen bij het maken van afspraken. 

Daarnaast vind ik het belangrijk dat scholen ouders goed informeren over het gebruik van persoonsgegevens van hun leerlingen. Wij moeten daarover wel helder zijn. Volgens de wet hoeven scholen ouders nu geen toestemming te vragen om persoonsgegevens te gebruiken in het kader van onderwijs. Dat laat onverlet dat het wel verstandig is om dat te doen. Ik heb ook wel een aantal ideeën over de manier waarop dat zou kunnen. 

Ik kom toch even terug op het individueel om toestemming vragen. Zoals ik eerder zei, staat er voor scholen op grond van hun onderwijstaak in de wet een zelfstandige grondslag om persoonsgegevens te bewerken. Als scholen bijvoorbeeld een administratiekantoor inschakelen voor het innen van een ouderbijdrage, hoeft daarvoor geen aparte toestemming van ouders te worden gevraagd. Scholen mogen in een leerlingsysteem de vorderingen van leerlingen bijhouden. Dat hebben zij nodig om hun onderwijs goed vorm te geven. Daarvoor hoeven zij geen toestemming aan ouders te vragen. Die regel geldt voor evidente bewerkingen van persoonsgegevens waarvan betrokkenen weten of redelijkerwijs kunnen weten dat ze plaatsvinden op de school. Het vragen van toestemming aan ouders zou geen geschikte grondslag zijn voor de verwerking van deze gegevens. Ouders hebben namelijk eigenlijk geen keuze om wel of niet toestemming te verlenen, als de consequentie is dat hun zoon of dochter het onderwijs niet kan volgen, niet kan meedoen met de klas. 

De oplossing zit hem dan ook in iets anders. Het is voor scholen een zaak van heel transparant zijn tegenover ouders en leerlingen over wat er gebeurt met persoonsgegevens en over de vraag welke gegevens met welk doel worden gebruikt. De school, in afstemming met de ouder, is de partij die bepaalt onder welke condities andere partijen over gegevens mogen beschikken. De school bepaalt dat en, nogmaals, niet de uitgeverij, niet de aanbieder. 

Ik vind de suggestie van de heer Van Meenen hiervoor wel goed. Hij vroeg of je ouders een stem en rol kunt geven in zoiets als een privacyreglement. Met de nieuwe Wbp is het privacyreglement afgeschaft. Het staat niet meer in de Wet bescherming persoonsgegevens. Het staat scholen echter wel vrij om te werken met zo'n privacyreglement, en eigenlijk zou ik dat heel verstandig vinden. En als zij dat doen, geeft de Wet medezeggenschap op scholen de medezeggenschapsraad instemmingsrecht ten aanzien van een dergelijk reglement. Ik vind dit typisch zo'n afspraak waarover de hele sector zou moeten zeggen dat zij dit zo'n belangrijk thema vindt dat zij het wil laten terugkomen als expliciet punt op school, mijnheer Van Meenen. Zij zou moeten zeggen dat zij daarover heldere afspraken wil maken, zodat zij verantwoording kan afleggen aan de ouders, en dat zij wil dat het door de medezeggenschapsraad gaat, waarbij die raad en zeker de oudergeleding op dat moment instemmingsrecht heeft. 

Mevrouw Straus stelt haar vraag in de tweede termijn van de zijde van de Kamer. 

Aan de orde is de tweede termijn in het debat over de privacy in het onderwijs. Ik geef het woord aan de heer Van Meenen van D66. Ik wijs hem er, ondanks dat hij het weet, voor de zekerheid op dat hij twee minuten spreektijd heeft inclusief het voorlezen van eventuele moties. 

Aangezien de heer Beertema van zijn tweede termijn afziet, geef ik nu het woord aan de heer Rog. 

Met de laatste motie willen wij het schoolbestuur als verantwoordelijke de mogelijkheid geven om scherpe afspraken te maken en om te controleren dat die afspraken worden nageleefd. Zo mag de staatssecretaris de laatste motie lezen. 

Daarmee is er een einde gekomen aan de tweede termijn van de Kamer. De staatssecretaris wil zich heel kort voorbereiden op zijn reactie op de moties. 

Ik pas de motie als volgt aan. De Kamer is nu van mening dat het toezicht op de leerlinggegevens moet verbeteren. Ik heb het dictum laten staan. 

De motie-Ypma (32034, nr. 10) is in die zin gewijzigd dat zij thans luidt: 

De Kamer, 

gehoord de beraadslaging, 

constaterende dat het toezicht op de leerlinggegevens niet afdoende is gebleken; 

verzoekt de regering om het CBP en de Inspectie voor het Onderwijs te vragen, samen de privacy van leerlingen te bewaken en in te grijpen bij mogelijke misstanden, 

en gaat over tot de orde van de dag. 

Naar mij blijkt, wordt de indiening ervan voldoende ondersteund. 

Zij krijgt nr. 13, was nr. 10 (32034). 

Dan vinden we elkaar helemaal. Dank daarvoor. 

Als de motie zo veranderd wordt, is het oordeel over de motie … 

Oordeel Kamer. 

Ik kom bij de motie van mevrouw Ypma op stuk nr. 11. We hebben een uitvoerige discussie gevoerd over "zo snel mogelijk". Daar ben ik het ook volledig mee eens. In de motie zoals die nu is geformuleerd, staat echter dat iedere leerling voor het begin van 2016, dus in 2015, het unieke nummer moet hebben en dus via het systeem van pseudonimisering kan werken. Ik moet daar echt eerlijk over zijn. Ik hoop op het begrip van de Kamer dat dit onverantwoord is. Het is niet realiseerbaar; we kunnen het niet halen. Het reële pad — dat is een heel ambitieus pad waarbij niets fout mag gaan — is dat we ervoor kunnen zorgen dat het er dit jaar staat. Begin 2016 kunnen we dan aan de slag gaan met een eerste cohort van leerlingen, nog niet met alle leerlingen, om te bekijken of het goed werkt. Als het goed werkt — dat hangt natuurlijk af van de testfase — kan het traject daarna snel worden ingezet. Ik denk dat dit een reëel tijdpad is. Ik hoop dat het afdoende is voor mevrouw Ypma, want haar motie moet ik in deze vorm helaas ontraden. 

Ik dacht dat ik de staatssecretaris tegemoetkwam, want van "voor het begin van het nieuwe schooljaar" heb ik "voor 2016" gemaakt. Ik zit een beetje in een lastig parket. De Partij van de Arbeid wil dit heel graag; zij wil heel graag snelheid. De staatssecretaris zegt dat het niet kan. Ik begrijp dat gewoon niet goed. Ik denk dat het met conversietabellen en allerlei andere dingen wel snel zou moeten kunnen. Ik begrijp ook niet hoelang er getest moet worden, en voor welke groepen wat wanneer moet gebeuren. Ik zou deze motie dus willen aanhouden en aan de staatssecretaris willen vragen om op papier te zetten wat de planning precies is en waarom iedere fase zo lang moet duren. Dan kan ik het nog eens bij andere experts neerleggen om te vragen of het klopt, want volgens mij willen de staatssecretaris en ik hetzelfde, en of er echt niet iets snellers te organiseren is. 

Dat lijkt me een elegante oplossing. Ik wil mevrouw Ypma uitnodigen eens te komen bekijken wat erbij komt kijken en in gesprek te gaan met degenen die nu al met dit traject bezig zijn, want er wordt nu al uitvoerig gesproken over een programma van eisen waaraan een en ander moet voldoen. Dat geeft wellicht grote inzichten. 

Gezien de aard van de vraag die voorafging aan deze toezegging, wil ik aan de staatssecretaris vragen of hij kan aangeven wanneer die planningsbrief naar de Kamer kan komen. 

Ik denk dat het goed is om daar een week of drie voor te nemen. We zitten nu namelijk op een cruciaal moment, omdat de opdrachtverlening in een format wordt gegoten voor waaraan het precies moet voldoen. Daaruit volgt hoelang de stappen daarna moeten duren. Als het niet binnen een week hoeft maar binnen drie weken mag, kan ik de Kamer echt meer in de diepte informatie geven die wat toevoegt aan het debat dat we zojuist hebben gevoerd. 

De brief komt dus binnen drie weken naar de Kamer; bedankt voor deze toezegging. 

Ik ga tot slot in op de motie op stuk nr. 12. Ook die moet ik in deze vorm ontraden. Er spelen een paar dingen mee. Om straks een goed systeem voor pseudonimisering te hebben, moet het gebeuren in de vorm waarover de indiener zojuist sprak in de toelichting op de motie. Het moet niet bij de overheid zitten en zeker niet bij de uitgeverijen. Het moet goed worden georganiseerd door de scholen, die er vervolgens goed toezicht en monitoring omheen moeten organiseren. 

In deze motie wordt om één ding meer gevraagd, namelijk om een heel grote database. Die zou niet alleen bevatten wat nodig is voor de pseudonimiseringsapplicatie, maar eigenlijk alle leergegevens van leerlingen. Dan krijg je een enorm groot bestand. Ik moet er niet aan denken dat daar een keer iets in misgaat. Voor het omgaan met de beveiliging van persoonsgegevens is nu de regel dat je twee dingen doet. Het eerste is dat gegevens op één plek mogen zijn als dat strikt noodzakelijk is voor goed onderwijs of het werken met een bepaalde leermethode, en niets meer. Het tweede is dat er zo veel mogelijk verschot en ontkoppeld wordt. We proberen als overheid altijd heel veel te ontschotten en juist aan elkaar te koppelen, maar voor de beveiliging van persoonsgegevens is dat uitermate riskant en kan het juist heel erg goed zijn dat er op verschillende plekken heel kleine beetjes zijn, zonder dat het in een grote database zit waar dan één partij verantwoordelijk voor is. Mijn indruk is dat met de motie eigenlijk dat laatste wordt beoogd. Met deze motivatie zou ik haar willen ontraden. 

Volgens mij zitten we niet zo vreselijk ver uit elkaar. Ik wil graag dat het schoolbestuur echt als verantwoordelijke kan optreden. We hebben nu Basispoort, maar daar is heel weinig toezicht op vanuit de sector. Ik wil dat Basispoort meer onder toezicht wordt gebracht bij de sector. Daarom wil ik deze motie ook aanpassen. Ik verzoek de regering, ervoor te zorgen dat Basispoort meer onder toezicht van de sector gebracht zal worden. Kan de staatssecretaris daar wel mee leven? 

Dat vind ik wel een interessant punt, maar dan zou ik het haast breder willen trekken dan alleen Basispoort. Ik vind dat, als er straks een convenant tot stand komt met heldere afspraken over waar de verantwoordelijkheden liggen, er niet maar blind op vertrouwd moet worden dat het daarna allemaal wel goed komt. Volgens mij heeft de PO-Raad hier ook op gehint in zijn brief. De PO-Raad is daar niet helemaal duidelijk over. Hij heeft het ook over publiek toezicht, maar volgens mij wordt daar niet zozeer de overheid mee bedoeld. Volgens mij wil de sector zelf organiseren dat erop wordt toegezien dat de afspraken die worden gemaakt met uitgeverijen, gestand worden gedaan. Als dat het geval is, kan ik er een heel eind in meegaan, maar dat vraagt dan wel om een iets andere tekst dan er nu in staat. 

Prima. Dan ga ik de tekst aanpassen, want dit is precies wat ik beoog. 

Oké, dan weten de leden hier dat de motie op stuk nr. 12, als zij op die manier is aangepast, aan het oordeel van de Kamer wordt gelaten. 

Ja. 

Hiermee is er een einde gekomen aan de beraadslaging … O nee, mevrouw Straus wil nog iets zeggen. 

Ik heb in tweede termijn een vraag gesteld over het privacy impact assessment. Die vraag heeft de staatssecretaris nog niet beantwoord. 

Nu mevrouw Straus naar de microfoon snelt, zie ik het op papier staan. Gelukkig kan ik ook mevrouw Straus gelukkig maken. Wat betreft het privacyreglement kan ik mij heel goed voorstellen dat je ook als school bekijkt welke rol een privacy impact assessment daarin speelt. Dat zal ik daarin meenemen. 

De stemmingen over de ingediende moties zullen komende dinsdag plaatshebben.